Vaststellingsonderzoek
Het naar boven halen van gegevens die als bewijs kunnen dienen vergt, naast specialistische kennis van hard- en software, eveneens onderzoekskennis. Digitale gegevens analyseren ten behoeve van de bewijsvoering wordt bij Riscon verzorgt door ervaren ICT-specialisten met (gediplomeerde) onderzoekservaring.
Digitaal onderzoek
Op een gemiddelde harde schijf bevinden zich enkele honderdduizenden bestanden. Aangezien het teveel tijd kost om elk document afzonderlijk te bekijken, wordt er bij Riscon gebruik gemaakt van diverse forensische softwareprogramma’s. Deze programma's zoeken, met behulp van ingevoerde zoektermen, naar de relevante bestanden waar deze zoektermen in voorkomen. De bestanden die door het programma worden geselecteerd, worden vervolgens apart gezet om nader te kunnen worden geanalyseerd. Om deze bewerkingen zorgvuldig te kunnen verrichten dienen echter eerst een aantal andere werkzaamheden te worden uitgevoerd. Hieronder zetten wij een aantal van deze werkzaamheden uiteen.
Kopiëren van de harddisk
Originele harddisks die moeten worden gekopieerd, worden eerst gedemonteerd uit de behuizing en aangesloten op een onderzoekscomputer van Riscon. Alle harddisks die worden gebruikt om de gegevens naar toe te kopiëren zijn ongebruikt en worden geëtiketteerd en gecodeerd. Op deze harddisks worden ‘subdirectory(s)’ (mapjes) aangemaakt die aangeven wat wordt gekopieerd (plaats/datum/schijf/partitie=c-schijf). In totaal worden van elke harddisk drie kopieën gemaakt. Twee kopieën van de originele harddisks worden, apart van elkaar, opgeslagen in beveiligde datasafes en een derde kopie dient als ‘werkkopie’.
Een kopie is bij Riscon een zogenaamde ‘image’. Een image is een 100% kopie (soort foto) van een harddisk, inclusief de ‘lege’ schijfruimte waar de niet-zichtbare (verwijderde) bestanden zich bevinden.
Het kopieerproces wordt door de computer uitgevoerd, alhoewel het kan voorkomen dat zich tussentijds meldingen voordoen waar de digitaal specialist op zal moeten reageren anders stopt de computer het proces.
Uitpakken van de image
Voordat gegevens vanuit een image kunnen worden geanalyseerd, moeten deze eerst digitaal worden ‘uitgepakt’. De op de image aanwezige partitie(s)(=‘c-schijven’) worden als het ware door de computer ‘leesbaar’ gemaakt.
Na het uitpakken kan het zijn dat er zich meerdere bestanden op een harddisk bevinden. Een voorbeeld: een harddisk bevat een drietal ‘PST’ (Outlook) bestanden die na het uitpakken vele duizenden e-mailberichten kunnen bevatten. Deze e-mailberichten kunnen op hun beurt ook weer bijlagen (attachments) bevatten.
Analyse
Er wordt eerst een globale analyse gedaan van de inhoud van de partitie(s) en een index gegenereerd van alle bestanden binnen die partitie(s), bijvoorbeeld welke partitie is meest recent gebruikt, welke (logische) indelingen heeft de gebruiker gehanteerd, bevinden zich mailprogramma’s op de schijven etc. Alle bestanden (en/of software) die duidelijk niet relevant zijn, worden uitgeselecteerd.
Voor een nadere analyse zullen bestanden op documentniveau moeten worden bekeken. Aangezien het te kostbaar is om alle aangetroffen documenten op een harddisk één voor één te lezen en te beoordelen, zal onze speciaal daartoe dienende (forensische) software de relevante documenten eerst uitselecteren. Hiervoor worden relevante zoekcriteria in het programma ingevoerd. Het zoekprogramma zoekt vervolgens op diverse woorden/combinaties van woorden door alle bestanden, inclusief de verwijderde bestanden.
Tijdsbesteding
Onze digitale specialisten houden naast het lopende proces een logboek bij van alle gevolgde procedures en controleren steekproefsgewijs zowel het kopieer als het selectieproces. De gemiddelde doorlooptijd van bovengenoemde werkzaamheden is afhankelijk van de hoeveelheid bestanden die zich op een harddisk bevinden. Riscon geeft vooraf een indicatie af over de tijd die zij denkt te moeten besteden aan de hand van de hoeveelheid gegevens die moeten worden geanalyseerd. Omdat vooraf niet altijd is te voorspellen wat we tijdens het onderzoek in de data tegenkomen, spreken we vaak met onze clienten een vaste tijdsbesteding af (een eerste dagbesteding van 8 uur bijvoorbeeld), waarna opnieuw overleg volgt aan de hand van de onderzoeksresultaten op dat moment.